Shadow IT : un phénomène encore sous-estimé en cybersécurité

Les efforts de transition numérique des entreprises ont contribué à l’augmentation des pratiques Shadow IT. Une étude menée par Everest Group a démontré que plus de la moitié des dépenses informatiques s’effectuent dans l’ombre.

Le Shadow IT désigne l’utilisation d’un service ou d’un matériel sans l’accord du service informatique. Les utilisateurs se servent d’un service cloud, d’un logiciel open source ou encore d’un matériel informatique.

Le téléchargement des applications sans autorisation représente la principale menace pour les entreprises. Les salariés trouvent facilement des applications sur internet et les téléchargent pour faciliter leur travail.

Le Shadow IT est un phénomène récent qui présente autant d’avantages que de risques. Les collaborateurs trouvent des outils qui améliorent leur productivité. Malheureusement, la productivité ne rime pas toujours avec la sécurité.

Cette pratique peut se manifester à travers deux types d’action :

• l’utilisation d’un logiciel non autorisé par le service informatique pour manipuler des données de l’entreprise. Si Microsoft 365 est l’outil habituellement utilisé pour partager et ouvrir des fichiers, le salarié se sert de Google Workspace.
• l’utilisation détournée d’un outil approuvé par le service informatique. Prenons le même exemple, le salarié utilise Microsoft 365, mais il se sert d’un compte qui n’est pas pris en charge par l’entreprise.

Les actes qui engendrent du Shadow IT sont motivés par l’esprit collaboratif, la fluidité de la communication ou l’amélioration de la productivité.

Gain de productivité 

Le salarié utilise des applications pour améliorer son organisation de travail, suivre ses rendez-vous, etc. Il télécharge alors des outils comme Trello ou Asana. Pour rédiger rapidement et correctement ses mails, il corrige ses textes sur des plateformes comme Grammarly.

Esprit collaboratif

Lorsque le travail exige l’échange de fichiers volumineux, l’envoi par e-mail n’est plus approprié. Les équipes se tournent vers des solutions en ligne comme Dropbox, WeTransfer ou encore OneDrive. Au-delà de l’envoi de documents, d’autres outils favorisent le travail d’équipe. La suite Google en est le meilleur exemple. Les collaborateurs reçoivent des notifications en temps réel, ils échangent des informations à travers les groupes de discussion rapidement.

La fluidité de la communication

L’essor du télétravail exige la fluidité de la communication plus que jamais. Les collaborateurs ont le choix entre plusieurs applications, certaines sont spécialisées dans la visioconférence à l’instar de Zoom ou Webex. D’autres améliorent les échanges comme Slack.

Le Shadow IT peut prendre différentes formes selon les motivations des collaborateurs au sein d’une entreprise.

Le phénomène prend de l’ampleur à cause du développement rapide des logiciels Saas et les services sur le cloud. Ces outils ne requièrent aucune installation. Les statistiques révèlent que 85% des achats d’applications basés sur le cloud sont réalisés par des collaborateurs non informatiques. Ces derniers n’ont pas le feu vert de l’équipe informatique pour réaliser cet achat.

L’équipe informatique est souvent en sous-effectif au sein des entreprises. Cela amène les salariés à prendre des initiatives sans l’aval des experts informatiques. D’après une étude réalisée par Everest Group, seulement 50% des dépenses sur le cloud proviennent du service informatique. Cela signifie que l’autre moitié est attribuée aux collaborateurs cherchant à améliorer leur efficacité et leur productivité.

Ils ne contournent pas les règles mises en place par le département informatique pour nuire à l’entreprise. Malgré les avantages évidents du Shadow IT, les salariés ne réalisent pas les risques de leurs actes. Prenons l’exemple d’une plateforme de traduction en ligne, le collaborateur y copie un mail très sensible en anglais pour le traduire en français. Cet acte qui semble anodin en apparence compromet pourtant les données de l’entreprise. Cela peut même mener à une violation des données.

De leur côté, les entreprises ne prennent pas en compte le Shadow IT pendant leur audit sécurité. D’après le NCSC (national computer security center), plus de 60% des organisations ne tiennent pas compte du Shadow IT durant l’analyse des menaces informatiques.

Au moment de l’utilisation, les salariés se concentrent sur les avantages immédiats que les outils leur procurent : gain de temps, gain de productivité, etc. En effet, les logiciels approuvés par le département informatique ne sont pas toujours les plus performants. Cela incite les employés à chercher des outils plus pratiques. D’après The Cloud Security Alliance, seulement 8% des entreprises sondées ont connaissance des applications cloud qu’elles ne gèrent pas.

La motivation des salariés à recourir au shadow IT est souvent inoffensive. Néanmoins, l’organisation n’est pas à l’abri d’un employé mal intentionné cherchant à voler des données. Il se sert d’un outil non géré pour introduire des malwares dans le réseau de l’organisation.

D’après le rapport d’Allied Market Research, la taille du marché du cloud computing sera de 1,25 milliard de dollars d’ici 2028. Cela signifie une augmentation de l’adoption des solutions cloud au sein des entreprises. La situation amène à une exacerbation du Shadow IT. Pour y faire face, l’équipe informatique doit mettre en place plusieurs mesures de détection de la pratique.

Cet inventaire permet d’identifier toutes les applications et logiciels que les collaborateurs utilisent. Les applications doivent ensuite figurer dans une plateforme de gestion des actifs logiciels (SAM). Chaque application identifiée doit présenter les détails comme son responsable, son coût, sa date de renouvellement, son nombre de licences, etc.

Ces informations permettent à l’équipe informatique de prendre les devants lorsque la licence expire par exemple. L’utilisateur n’est pas ainsi livré à lui-même et tenté de trouver une autre solution.

Pour identifier les solutions non gérées, une enquête auprès des employés est indispensable. Il est à noter que cet inventaire complet est chronophage, notamment au sein d’une grande entreprise.

Les applications identifiées font ensuite l’objet d’une évaluation des risques. L’évaluation s’intéresse à trois principaux points :

• conformité réglementaire : l’outil respecte-t-il les normes en vigueur ? Pour le savoir, une étude des certificats de conformité du fournisseur est nécessaire : RGPD, SOX, CCPA, etc.
• sécurité des données : les certificats de sécurité du fournisseur donnent déjà des indices sur ce point. Par ailleurs, une analyse des mesures techniques que ce dernier applique est aussi nécessaire.
• risques commerciaux : pour garantir une utilisation pérenne de la solution, une évaluation de la fiabilité et de la solidité du fournisseur s’impose. Ce dernier est-il capable d’apporter une valeur durable à l’entreprise ? S’agit-il d’une start-up qui risque de disparaître au bout de quelques mois ?

L’objectif de cette étape consiste à identifier les applications sous-exploitées. Pour cela, il faut :

• se concentrer sur les solutions les plus onéreuses du portefeuille d’applications. Leur utilisation est-elle suffisamment rentable ?
• identifier la fréquence d’utilisation de chaque application pour mettre en lumière celles qui sont inactives et sous-exploitées.

classer les applications en plusieurs catégories en fonction de leur fréquence d’utilisation. Il faut ensuite comparer leur usage pour éliminer les doublons. Prenons l’exemple d’un logiciel de traduction et un autre de correction de l’orthographe. Le premier intègre également un correcteur. L’équipe informatique peut remettre en cause la pertinence du second dans ce cas.

Les informations récoltées au cours des trois premières étapes mettent en lumière les besoins des collaborateurs et les applications qui y répondent le mieux. Cette dernière étape consiste à retirer définitivement les logiciels inutilisés. Pour cela, il faut classer les applications en plusieurs catégories : essentielles, sous-exploitées, redondantes, non essentielles.

Les quatre premières étapes ne suffisent pas à contenir le shadow IT. Les collaborateurs éprouvent de nouveaux besoins chaque jour. L’entreprise a donc tout intérêt à mettre en place une politique d’acquisition et renouvellement sérieuse. Cette politique contribue à une utilisation rationalisée et une consommation contrôlée.

Une surveillance automatisée est plus pratique pour identifier les mises à jour des logiciels, les applications non gérées, les transmissions de données internes à des fournisseurs non vérifiés.